Lewati ke konten utama

Tinjauan Keamanan Otomatis dalam Kode Claude

Diperbarui minggu ini

Claude Code sekarang menyertakan fitur tinjauan keamanan otomatis untuk membantu Anda mengidentifikasi dan memperbaiki kerentanan dalam kode Anda. Panduan ini menjelaskan cara menggunakan perintah /security-review dan GitHub Actions untuk meningkatkan keamanan kode Anda.

Catatan: Meskipun tinjauan keamanan otomatis membantu mengidentifikasi banyak kerentanan umum, fitur ini harus melengkapi, bukan menggantikan, praktik keamanan yang ada dan tinjauan kode manual Anda.

Gambaran Umum

Tinjauan keamanan otomatis di Claude Code membantu pengembang menangkap kerentanan sebelum mencapai produksi. Fitur-fitur ini memeriksa masalah keamanan umum termasuk risiko injeksi SQL, kerentanan cross-site scripting (XSS), cacat autentikasi, penanganan data yang tidak aman, dan kerentanan dependensi.

Anda dapat menggunakan tinjauan keamanan dengan dua cara: melalui perintah /security-review untuk pemeriksaan sesuai permintaan di terminal Anda, atau melalui GitHub Actions untuk tinjauan otomatis pull request.

Ketersediaan

Fitur-fitur ini tersedia untuk semua pengguna Claude Code, termasuk:

  • Pengguna dengan paket berbayar individual (Pro atau Max).

  • Pengguna individual atau perusahaan dengan akun API Console bayar sesuai penggunaan.

Menggunakan perintah /security-review

Perintah /security-review memungkinkan Anda menjalankan analisis keamanan langsung dari terminal sebelum melakukan commit kode.

Menjalankan Tinjauan Keamanan

Untuk memeriksa kode Anda terhadap kerentanan:

  1. Buka Claude Code di direktori proyek Anda.

  2. Jalankan /security-review di terminal.

  3. Claude akan menganalisis basis kode Anda dan mengidentifikasi masalah keamanan potensial.

  4. Tinjau penjelasan detail yang diberikan untuk setiap masalah yang ditemukan.

Menerapkan Perbaikan

Setelah Claude mengidentifikasi kerentanan, Anda dapat memintanya untuk menerapkan perbaikan secara langsung. Ini menjaga tinjauan keamanan terintegrasi dalam alur kerja pengembangan Anda, memungkinkan Anda mengatasi masalah ketika paling mudah untuk diselesaikan.

Menyesuaikan Perintah

Anda dapat menyesuaikan perintah /security-review untuk kebutuhan spesifik Anda. Lihat dokumentasi tinjauan keamanan untuk opsi konfigurasi.

Menyiapkan GitHub Actions untuk tinjauan PR otomatis

Setelah menginstal dan mengkonfigurasi GitHub action, ini akan secara otomatis meninjau setiap pull request untuk kerentanan keamanan ketika dibuka.

Instalasi

Untuk menyiapkan tinjauan keamanan otomatis untuk repositori Anda:

  1. Navigasi ke pengaturan GitHub Actions repositori Anda

  2. Ikuti panduan instalasi langkah demi langkah dalam dokumentasi kami

  3. Konfigurasi action sesuai dengan persyaratan keamanan tim Anda

Cara Kerjanya

Setelah dikonfigurasi, GitHub action:

  • Memicu secara otomatis ketika pull request baru dibuka.

  • Meninjau perubahan kode untuk kerentanan keamanan.

  • Menerapkan aturan penyaringan yang dapat disesuaikan untuk mengurangi positif palsu.

  • Memposting komentar inline pada PR dengan masalah yang diidentifikasi dan perbaikan yang direkomendasikan.

Ini menciptakan proses tinjauan keamanan yang konsisten di seluruh tim Anda, memastikan kode diperiksa untuk kerentanan sebelum digabungkan.

Opsi Kustomisasi

Anda dapat menyesuaikan GitHub action untuk mencocokkan kebijakan keamanan tim Anda, termasuk menetapkan aturan spesifik untuk basis kode Anda dan menyesuaikan tingkat sensitivitas untuk berbagai jenis kerentanan.

Masalah keamanan apa yang dapat dideteksi?

Baik perintah /security-review maupun GitHub action memeriksa pola kerentanan umum:

  • Risiko injeksi SQL: Mengidentifikasi kerentanan query database potensial.

  • Cross-site scripting (XSS): Mendeteksi kerentanan injeksi skrip sisi klien.

  • Cacat autentikasi dan otorisasi: Menemukan masalah dengan kontrol akses.

  • Penanganan data yang tidak aman: Mengidentifikasi masalah dengan validasi dan sanitasi data.

  • Kerentanan dependensi: Memeriksa masalah yang diketahui dalam paket pihak ketiga.

Memulai

Untuk mulai menggunakan tinjauan keamanan otomatis:

  • Untuk perintah /security-review: Perbarui Claude Code ke versi terbaru (jalankan), kemudian jalankan /security-review di direktori proyek Anda.

    • Claude Code secara otomatis menjaga dirinya tetap terbaru untuk memastikan Anda memiliki fitur dan perbaikan keamanan terbaru, tetapi Anda juga dapat menjalankan claude update untuk memperbarui secara manual.

  • Untuk GitHub actions: Kunjungi

Artikel Terkait
Apa itu paket Claude Enterprise?
Memulai dengan Server MCP Lokal di Claude Desktop
Menggunakan Claude Code dengan paket Pro atau Max Anda
Konfigurasi Model Kode Claude
Apakah pertanyaan Anda terjawab?